UPD Вітчизняний хакер знайшов спосіб обходу внутрішньоігрових покупок

вітчизняний

Не затягуватимемо і озвучимо перше ім'я, наші читачі повинні знати своїх героїв в обличчя - сайт зветься Macdigger.ru і відомий деякою джейлбрейк-спрямованістю. Як відомо, джейлбрейк і піратство - поняття зовсім не взаємозамінні, і установка твіків, що змінюють зовнішній вигляд системи ніяк не пов'язана з установкою краденого контенту. Нас збентежила наступна публікація:

вітчизняний

Якщо коротко, то в цій статті розповідається про те, що вітчизняний хакер Олексій Бородін знайшов спосіб обходу фінансової сторони внутрішньоігрових покупок в iOS-додатках, тобто користувач, використовуючи цю інструкцію, може робити ці покупки скільки завгодно разів, не платячи за це ні копійки. Забираючи хліб розробників, які заробляють, нагадаю, розробкою додатків.

Звичайно, залишати цю ситуацію такою, якою вона є зараз, ми не маємо наміру. І якщо публікація таких статей залишається на совісті нечистих на руку інтернет-ресурсів, то ми в свою чергу зобов'язані повідомити про це представників компанії Apple, щоб подібний атракціон був закритий. Лист наступного змісту було направлено в українську прес-службу Apple:

Мене звуть Ілля Козаков, я є представником інтернет-ресурсу AppleInsider.ru.

Також ми б хотіли тримати наших читачів в курсі дій, що приймаються компанією Apple, з цього питання.

Дякуємо за увагу.

Після цього ми зв'язалися з самим розробником сервісу та взяли у нього невелике інтерв'ю, в якому Олексій розповів про те, як ця система працює.

Олексій Бородін: Доброго дня

AI: У мене є пара питань щодоВаш сервіс.

Олексій Бородін: Задавайте

AI: Чи не могли б ви коротко пояснити принцип роботи in-appstore.com?

Олексій Бородін: Суть - у підміні частини appstore. до підтвердження покупки юзвер взаємодіє з appstore, а потім у справу вступає те, що я придумав. Також це не просто проксі, це досить-таки значна система з кешем підписаних відповідей апстора і статистикою «покупок».

AI: Як довго у Вас зайняла реалізація сервісу та звідки з'явилася подібна ідея?

AI: Чесно кажучи, не помітив подібного в цьому додатку, ну та гаразд, не про це зараз. Наскільки безпечно для простого користувача використання сервісу? У плані, чи контакти, паролі та інша особиста інформація в руки тих, кому така інформація належати не повинна?

Олексій Бородін: Пароль у незакодованому вигляді проходить через сервер, проте він не зберігається та відправляється безпосередньо в appstore. Це конфіденційні дані та їх зберігання та продаж — кримінально караються. А ось з приводу in-app покупок я так не вважаю, бо ж ви купили додаток в аппсторі (з усім його контентом)? Контент вже у вас, він куплений. Чому б не відкрити його безкоштовно? За читерство в Counter-Strike ще нікого не посадили. З інентифікаторів, що належать безпосередньо вам, зберігається наступне:

  • restriction level of app
  • id of app
  • id of version
  • guid of your idevice
  • quantity of in-app purchase
  • offer name of in-app purchase
  • language you are using
  • identifier of application
  • version of application
  • your locale

І так, до речі, вже накатали скаргу на сервер, тож ми переїжджаємо до Голландії швидше за все

AI: Однак,читерство в Counter-Strike не має на увазі під собою крадіжку. Обхід In-App Purchase – навпаки, є безпосередньо крадіжкою. У App Store додаток, що містить In-App Purchase, найчастіше поширюється значно дешевше (іноді і безкоштовно), ніж додатки без внутрішньоігрових покупок. Вас не турбує етичний бік питання? Обхід покупок по суті завдає шкоди розробникам, які цим заробляють

Олексій Бородін: Ніщо не заважає тим самим розробникам написати на сайті заяву, і ми просто відключимо покупку через in-appstore.com. Швидше за все.

AI: А самі ви користуєтесь «крекнутими» додатками або все-таки купуєте їх в App Store, якщо не секрет?

Олексій Бородін: Всі мої програми легально куплені в аппсторі. Я використовую неджейлену IOS. Підштовхнула мене на такий крок відверте нахабство розробника. Самі пробували грати в CSR Racing? (До речі, непоганий їм піар). І так, хочу сказати, що in-App Store – тільки для легально куплених додатків.

AI: Тобто зі скачаними з торентів іграми сервіс працювати відмовиться?

Олексій Бородін: Ну, не відмовиться, я навіть якось не вивчав. За ідеєю Аpple мала б перевіряти, чи куплено додаток, де хочуть купити in-app, проте вона цього не робить. Що ж, тоді виходить працюватиме.

AI: Вас не турбує кримінальна сторона питання? Ваш сервіс по суті допомагає користувачам здійснювати крадіжки, хай і цифрові.

Олексій Бородін: А які саме звинувачення ви хочете мені висунути?

AI: Звинувачення - це не зовсім правильно обране слово. Цікавим є ваше ставлення саме до легальності такого сервісу. Я думаю, що не треба пояснювати, що ті можливості, які пропонують сервіс, є абсолютно нелегальними.Виходить, що iOS-користувачі з вашої подачі отримують легку нагоду красти, якщо говорити прямо.

Олексій Бородін: Крати що, те, що вже в них у руках і те, що вони вже купили? Давайте візьмемо ситуацію. Ви прийшли до магазину та купили молоко. У закритій пляшці. Прийшли додому, а вам: «А заплатіть ще долар, щоб її відкрити». Що ви зробите?

AI: Погодьтеся, що це не зовсім правильний приклад. У такому разі потрібно говорити приблизно так: «Якщо вам сподобалося молоко, то заплатіть ще н рублів за новий пакет». Найчастіше freemium-ігри розповсюджуються безкоштовно, розробник дає можливість спробувати продукт, а якщо користувачеві він подобається, то останній голосує за нього карбованцем. Таким чином виходить, що всі задоволені - користувач спробував безкоштовно, а розробник отримав свої гроші за витрачений час та гроші. Ваш сервіс, виходить, останній пункт прибирає повністю.

Олексій Бородін: Робіть відразу платні ігри, або free та платні версії. Що я можу сказати.

Олексій Бородін: Добре, я віддам свої напрацювання в інші руки.

Олексій Гречко, СMO AppMania

Я не зупинятимуся на тому, яку шкоду цей злом принесе рядовим розробникам (він досить очевидний), краще подивитися на крок уперед.

Чим простіша реалізація злому для кінцевого користувача, тим більшу популярність він завоює. Тому якщо даний сервіс вийде в маси, то безумовно на нього чекає велика аудиторія.

Але, швидше за все, варто очікувати на витік персональних даних усіх бажаючих спробувати халяву. І це не ID програми, а логіни та паролі до облікових записів.

У глобальному плані на розробників це ніяк сильно не вплине. Apple зробить все можливе, щоб закрити подібні дірки внайближчому майбутньому.

Євген Дорфман, Director of Mobile Technology, Postindustria

Я думаю, що розробникам це завдасть збитків, проте не драматичних, оскільки цей злом — крапля в морі. Від нього буде ще менше збитків, ніж від jailbreak з різними способами встановлення піратського ПЗ.

Отвір буде відкрито недовго - пару місяців, перш ніж Apple все ж таки знайде якийсь workaround. Хоча, можливо, потрібно більше часу, якщо потрібно буде оновлювати клієнтські бібліотеки StoreKit.

А хлопцю, який побудував цю систему, я вважаю, маємо запропонувати роботу в Apple негайно 🙂

Сьогодні нам надійшла відповідь від прес-служби Apple в Україні. Все в порядку, компанія займається вирішенням проблеми.

«Середність App Store є надзвичайно важливою для нас і розвитком суспільства,» хлопець Наталі Харрісон, Apple Apple. «У нас є reports of fraudulent activity very seriously, and we are investigating.»

З повагою, Прес-офіс Apple в Україні